专注于软件供应链安全的公司 Sonatype 公布了 2025 年第一季度的开源恶意软件指数报告指出,1 月 1 日至 3 月 31 日共发现了 17,954 个开源恶意软件;其中包括几个被劫持的 npm 加密包、一个伪装成 Truffle for VS Code 扩展的恶意 npm 包,以及假冒的 Solana 包。
相较上一季度发现的 34,000 多个恶意软件包相比大幅下降,主要原因在于安全持有软件包数量明显减少。与去年同期相比,2025 年第一季度的恶意软件总数增加了一倍多。
2025 年第一季度发现的恶意软件中,超过一半 (56%) 与数据泄露有关;与 2024 年第四季度的 26% 相比大幅增加,表明敏感信息通过开源组件泄露的风险日益增加。加密挖矿恶意软件占 2025 年第一季度发现的恶意软件包的 7%,高于 2024 年第四季度的 3.5%,表明资源劫持攻击在开源生态系统中仍然盛行。
Sonatype 认为,“从被劫持的加密包到带有间谍软件的虚假开发工具,2025 年第一季度清楚地表明,开源恶意软件威胁在规模和复杂程度上都在增长。威胁行为者继续以开源生态系统为目标,发起旨在窃取凭证、窃取敏感数据并在开发者环境中建立持久访问权限的活动。”